《网络安全攻防演练暴露问题与实例.docx》由会员分享,可在线阅读,更多相关《网络安全攻防演练暴露问题与实例.docx(5页珍藏版)》请在优知文库上搜索。
1、网络安全攻防演练暴露问题与实例如今,攻防演练已成为各企业、各单位从主动防御视角履行网络安全义务的重要手段。攻防演练不但能有效检验工作人员的安全意识和防护技能,而且可以通过模拟的方式检查既有的应急预案和应急处置措施是否有效、妥当,锻炼企业在突发安全事件下确保业务连续性的工作方法。网研基地深耕网络安全攻防技术,在上海市电信和互联网行业“磐石行动”、广东省数字政府“粤盾杯”等全国多个省市级大型网络安全攻防演练活动中担任裁判方,并具备协助金融、能源等多个国家重点行业的企业开展内部专项演练行动的丰富经验。一、攻防演练暴露问题现状各企业、单位应重点关注演练中暴露出的下列问题:1.互联网边界问题1)防护措施
2、不全面各企业互联网系统主站防护措施普遍落实较好,但对于主站内关联的子网站或子系统的防护措施可能并不到位。演练中攻击队常发现大量存在于子网站或子系统和网站管理平分的安全漏洞。这可能是由于管理人员抱有侥幸心理,认为访问量低或者在主站下的子网站子系统即便存在问题也不会有太大影响。但在网络安全实战对抗中,外部入侵者可直接利用子网站或子系统的漏洞达到篡改主网站的效果,或通过利用子网站、子系统的漏洞进一步进入到内网中,通过内网漫游控制公司所有系统。2)安全防范意识淡薄在演练中发现,外部攻击方可以利用邮件钓鱼、网络聊天等方式轻易骗取防守方员工的信任,从而获取攻击入口、内网结构、敏感账号等信息。企业员工的安全
3、意识有待加强。3)未定期进行安全评估防守方企业的日常管理、维护工作可能存在缺失,导致外部入侵者采用的弱口令攻击屡试不爽。曾有演练发现某公司网站有遗留的历史攻击痕迹,利用遗留漏洞可直接获得服务器管理员权限进而控制该服务器。各企业应定期开展安全评估工作,及时发现历史遗留木马脚本,对服务器进行安全加固。2.内部网络环境问题D资产不清,管理混乱在开展网络攻击的前期,攻击者通常会对防守单位进行信息收集,并发现各单位暴露在外网的内网系统,如OA系统、AP1.接口系统、邮件系统、业务内网系统等本不应该直接对互联网开放的系统。应特别注意,部分企业因其业务较多,内部没有统一信息安全管理体系和机构。每当公司内部部
4、门有系统建设需要时,会臼行找网站外包方开发系统再发布在互联网上。这导致公司信息化资产无法被全面了解和掌握,也无法对此类系统落实网络安全防护要求,从而令外部入侵者有迹可循。2)网络安全重要性认识不足部分企业对网络安全的重要性和必要性认识不足,导致安全防护和建设水平较低。演练中曾有攻击队伍在突破互联网边界后,发现某公司内部网络环境中的服务器、网络设备、数据库均存在弱口令,警如内部视频监控系统,视频会议系统等。且部分被突破互联网边界的公司在外网系统防护上也没有做到位,基本没有任何网络安全防护措施。3)系统存在漏洞外部攻击者利用已经公开的漏洞开展网络攻击。在攻防演练中,攻击队利用已知漏洞实施的攻击手段
5、也常常卓有成效,防守单位应当排查自身对于相关应用、平台的网络安全技术防护是否存在管理不足。二、攻防演练实例在网络安全攻防演练中,攻击队采用各式各样的攻击技战法,模拟现实中的网络安全对抗行动。参与演练的防御单位应当对此进行针对性防御,利用演练检验F1.身网络安全能力,并及时处置演练中暴露的漏洞和问题。1 .社工钓鱼技战法技术背景:钓鱼攻击通常具备一定的隐蔽性和欺骗性,不具备网络技术能力的人难以分辨内容真伪,而针对特定目标及群体精心构造的鱼叉钓鱼攻击则可令具备一定网络技术能力的人防不胜防,可谓之外网突破渗透利器。分析点评:攻击队通过电话钓鱼、邮件钓鱼、招聘软件钓鱼、脉脉钓鱼等社工钓鱼手法获取目标公
6、司人员信任,进而使受害者运行攻击队提供的恶意木马,或向攻击队提供业务程序的软件包或关键配置文件。若业务人员、人力资源人员、客户人员的安全意识薄弱,缺乏安全相关全员培训,就可能导致重要敏感信息泄露或业务终端被攻击队远程控制,进而能够对内网核心资产开展进一步信息收集和内网渗透。2 .APP静态分析技战法技术背景:在服务端安全越来越完善的当下,通过对APP客户端进行信息收集也是一种思路,外部攻击者获取的敏感信息往往是其突破的关键。尤其是越来越多的企业在APP中使用了云服务器以及对象存储等公有云服务,针对APP客户端的信息收集工作也越来越有必要。分析点评:例如,曾有攻击队通过静态分析方法人工反编译AP
7、P软件包,获取防守方公有云平台的访问令牌后,宜接获取了防守方公有云平台的管理员权限,进而对云上资产进行管理和控制。由于APP软件包在开发过程中含有公有云平台的连接域名、访问令牌等敏感信息的硬编码,导致敏感信息泄露后攻击队获得了公行云平台的管理员权限。3 .供应链信息利用技战法技术背景:攻与防是一个持续博弈的关系,随着防御体系的“升级”,攻击手段也变得愈发隐蔽、刁钻。攻击者源源不断地抛出各类软、硬件Oday漏洞,H动化攻击工具越来越先进智能,社会工程学手段也愈发高超。攻击者入侵的基本思路与流程通包括:攻击方案确定、信息收集、薄弱点攻击、权限维持、隧道搭建、内网信息收集、横向移动、完成目标等阶段。防守者则需要时刻保持警惕,全方位布防,持续监测,才有可能抵御住攻击者的无孔不入的入侵。分析点评:曾有攻击队通过收集防守方的注册信息、P地址、域名信息、备案信息、供应链信息等,在演练中有针对性地对薄弱业务系统发起攻击,获取权限后建立隐蔽隧道访问内网,并横向渗透重点运维人员和设备,进一步获取了内网大量服务器和数据库资产、重要业务系统权限以及大量敏感业务数据。由于互联网暴露面存在未修复的已知安全漏洞,攻击队直接远程取得了内网重要服务器权限并进行信息收集和弱口令探测,从而进一步夺取了大量资产和重要业务系统权限。